React 연락 양식을 스팸과 남용으로부터 하드닝하기

연락 페이지는 단순해 보이지만 공격자가 쓸 수 있는 첫 공개 endpoint가 되는 경우가 많습니다. 스팸, phishing payload, 과도하게 큰 제출, 자동 probe가 같은 workflow를 겨냥할 수 있습니다.

Frontend는 품질을 높이고 노이즈를 줄일 수 있지만 실제 메일 발송 endpoint에는 server-side validation과 rate limiting이 필요합니다.

• 제출 전에 필수 필드와 예상 길이를 검증합니다.
• provider secret이나 private API key를 client-side code에 노출하지 않습니다.
• 사용자가 반복 제출하지 않도록 명확한 성공 및 실패 상태를 제공합니다.
• 페이지 무게를 줄이기 위해 bot protection은 필요한 곳에서만 로드합니다.

• 플랫폼이 허용하는 경우 IP, fingerprint, session 기준으로 rate limit을 적용합니다.
• 이메일을 구성하기 전에 payload를 정규화하고 검증합니다.
• 개인 주소 대신 role-based mailbox로 메시지를 라우팅합니다.
• 불필요한 개인정보를 수집하지 않으면서 남용 조사에 충분한 맥락을 로그로 남깁니다.

회사 alias는 workflow 운영을 쉽게 만듭니다. support 질문은 support로, 취약점 보고서는 security로, privacy 요청은 privacy로, legal 요청은 legal로, sales lead는 sales로 보낼 수 있습니다. 이런 분리는 공개 사이트에서도 더 신뢰성 있게 보입니다.